パスワードの変更後または移動プロファイルの使用時に証明書機能にアクセスできない

文書翻訳 文書翻訳
文書番号: 331333 - 対象製品
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

現象

パスワードの変更後または移動プロファイルの使用時に証明書機能を使用するとき、その証明書機能へのアクセスが拒否されることがあります。たとえば、以下の証明書機能を以前と同じように使用できないことがあります。
  • 暗号化ファイル システム (EFS) によって暗号化されたファイルへのアクセス
  • 証明書の認証が必要な、セキュリティで保護された Web ページへのアクセス
  • S/MIME (Secure/Multipurpose Internet Mail Extensions) による電子メールの署名
セキュリティで保護された Web サイトにアクセスしようとすると、次のエラー メッセージがログに出力されます。
Schannel のイベント : 36870
SSL クライアント資格情報の秘密キーにアクセスしようとして致命的なエラーが発生しました。暗号化モジュールから返されたエラーは 0x80090016 です。

原因

この問題は、Microsoft Windows NT 4.0 ドメインにあるクライアント ユーザー アカウントを使用して、Microsoft Windows XP Professional を実行するワークステーションにログオンしている場合にのみ発生します。Windows XP 版の DPAPI (Data Protection API) 機能は、EFS 秘密キーなど、セキュリティで保護しておく必要があるデータの保護に役立ちます。Microsoft Windows NT 4.0 以前を実行しているドメインに所属するユーザーについては、DPAPI の回復機能はサポートされません。

解決方法

パスワードの変更後または移動プロファイルの使用時に証明書機能へのクライアント アクセスを維持するには、ドメインを Active Directory ディレクトリ サービスにアップグレードします。Active Directory ドメインには、公開キーと秘密キーのペアを使用して DPAPI マスタ キーを保護するためのメカニズムがあります (DPAPI マスタ キーは、EFS 秘密キーなど、証明書に基づく機能を保護するために使用されます)。

Windows NT 4.0 ドメインでは、証明書のキーとデータへのアクセス権を回復するための機能がワークステーションにあります。Windows 2000 ドメインでは、そのような回復機能がワークステーションにありません。そのため、Windows 2000 ドメインでは、ワークステーションが物理的に侵害された場合の証明書の保護が大幅に強化されています。

DPAPI ドメイン回復メカニズムを活用するためにアップグレードが必要なドメイン コントローラは 1 台のみですが、フォールトトレランスのため、少なくとも 2 台のドメイン コントローラのアップグレードを検討してください。

Active Directory を実装する前に、その実装計画を作成することを強くお勧めします。Active Directory の設計の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx

回避策

この問題を回避するには、クライアント ワークステーションに Windows XP Service Pack 1 (SP1) 以降をインストールした後、次のレジストリ エントリを作成します。これにより、Windows 2000 の動作がエミュレートされます。

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。 次の手順を実行した後、レジストリ エディタを終了します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。regedit と入力し、[OK] をクリックします。
  2. 次のレジストリ キーを見つけてクリックします。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Protect\Providers\df9d8cd0-1501-11d1-8c7a-00c04fc297eb
  3. [編集] メニューの [新規] をポイントし、[DWORD 値] をクリックします。
  4. MasterKeyLegacyNt4Domain と入力し、Enter キーを押します。
  5. [編集] メニューの [修正] をクリックします。
  6. 1 と入力し、[OK] をクリックします。
このエントリの作成後、ユーザーが Windows NT 4.0 ドメインのメンバかどうかがクライアント側で確認されるようになります。ユーザーが Windows NT 4.0 ドメインのメンバである場合、Windows XP クライアントによって Windows 2000 の動作がエミュレートされます。このとき、パスワードを変更したユーザーには、DPAPI により、そのユーザーのキーへのアクセス権が与えられます。

: レジストリを編集してこの問題を回避する場合、レジストリに加えた変更は、レジストリの変更以後の、この資料の「現象」に記載された動作にのみ適用されます。レジストリの変更前に変更したパスワードを使用して EFS ファイルを開くと、引き続きアクセス拒否のエラー メッセージが表示されます。

セキュリティに対する重要な影響

このレジストリ エントリを使用すると、物理的に侵害されたコンピュータのセキュリティが大幅に低下します。コンピュータに物理的にアクセス可能な攻撃者が、EFS で暗号化されたファイルの一部またはすべて、さらにコンピュータに保存されている証明書の秘密キーにアクセスすることができます。

パスワードの変更後にファイルへのアクセス権を回復する

パスワードの変更後に各ワークステーション上で証明書機能へのアクセス権を回復するには、変更後のパスワードを、ファイルを最後に暗号化したときに使用していたパスワードに戻します。

: 以下の手順では、コンピュータへのログオンに使用するパスワードのみが変更されます。ドメイン パスワードは変更されません。
  1. 変更後のパスワードを使用してコンピュータにログオンします。
  2. [スタート] ボタンをクリックし、[コントロール パネル] をクリックします。
  3. [ユーザー アカウント] をクリックします。
  4. 対象のユーザー名をクリックします。
  5. [パスワードのリセット] をクリックします。
  6. [新しいパスワード] ボックスに変更前のパスワードを入力し、[新しいパスワードの確認入力] ボックスに同じパスワードを入力します。[OK] をクリックします。
  7. コンピュータを再起動します。

状況

この動作は仕様です。

詳細

この資料の「現象」に記載された動作は、Windows NT 4.0 ドメインに属するアカウントを使用して、Windows XP を実行するコンピュータにログオンするユーザーにのみ該当します。ワークグループのメンバ、または Windows 2000 Active Directory ドメインのメンバである Windows XP Professional クライアントの動作は、この資料の記述とは大幅に異なります。

Windows XP における DPAPI の詳細については、以下のマイクロソフト Web サイトを参照してください。
http://msdn2.microsoft.com/en-us/library/ms995355.aspx
秘密キーや EFS ファイルへのアクセス権が失われる問題を含めた、DPAPI のトラブルシューティングの関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
309408 DPAPI (データ保護 API) のトラブルシューティング

プロパティ

文書番号: 331333 - 最終更新日: 2007年8月28日 - リビジョン: 4.3
この資料は以下の製品について記述したものです。
  • Microsoft Windows XP Professional
キーワード:?
kbprb KB331333
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com